SoA (Statement of Appicability) - Sanders - Rev1

PT.
SATUSTOP FINANSIAL SOLUSI
STATEMENT of APPLICABILITY
(SoA)
ISO 27001:2013
KODE DOKUMEN :
REVISI : 0
JENIS DOKUMEN : Internal Use
Jakarta, 22 Januari 2019

Disiapkan Oleh : Disahkan Oleh :
MR Direktur
Internal Use
No. Dokumen : IT-FR-01-00
Statement of Applicability Revisi Ke :0
(SoA) Berlaku Mulai : 14 Jan 2019
Halaman :1
Daftar Isi Kontrol Informasi
A.5 Kebijakan Keamanan Informasi

A 5.1 Arahan manajemen untuk keamanan informasi
A.6 Organisasi Keamanan Informasi
A.6.1 Organisasi internal
A.6.2 Perangkat mobile dan teleworking
A7 Keamanan Sumber Daya Manusia
A.7.1 Sebelum dipekerjakan
A.7.2 Selama bekerja
A.7.3 Pemberhentian karyawan dan pemindahan pekerjaan
A.8. Manajemen Aset
A.8.1 Tanggung jawab terhadap asset
A.8.2 Klasifikasi informasi
A.8.3 Penanganan media
A.9 Kontrol Akses
A.9.1 Persyaratan bisnis untuk kontrol akses
A.9.2 Manajemen akses user (User access management)
A.9.3 Tanggung jawab user
A.9.4 Kontrol akses sistem dan aplikasi
A.10 Kriptografi
A.10.1 Kontrol kriptografi
A.11 Keamanan Fisik dan Lingkungan
A.11.1 Area yang aman
A.11.2 Peralatan
A.12 Keamanan Operasi
A.12.1 Prosedur operasional dan tanggung jawab
A.12.2 Perlindungan terhadap malware
A.12.3 Back-up
A.12.4 Log dan Pemantauan (logging and monitoring)
A.12.5 Kontrol operasional software
A.12.6 Manajemen teknik kelemahan (vulnerability)
A.12.7 Audit sistem informasi
A.13 Keamanan Komunikasi
A.13.1 Manajemen keamanan jaringan (Network security management)
Internal Use
Halaman :2
A.13.2 Transfer informasi
A.14 Akuisi, Pengembangan dan Perawatan Sistem

A.14.1 Persyaratan keamanan sistem informasi
A.14.2 Keamanan dalam proses pengembangan dan proses-proses pendukung
A.14.3 Tes data
A.15 Hubungan Pemasok
A.15.1 Keamanan informasi dalam hubungan dengan supplier
A.15.2 Manajemen layanan supplier
A.16 Manajemen Insiden Keamanan Informasi
A.16.1 Manajemen insiden keamanan informasi dan perbaikan
A.17 Aspek Keamanan Informasi dari Manajemen Keberlangsungan Bisnis
A.17.1 Keamanan informasi dalam Business Continuity Management
A.17.2 Redundancies
A.18 Kesesuaian
A.18.1 Kepatuhan terhadap persyaratan hukum dan kontrak
A.18.2 Review keamanan informasi
Internal Use
Halaman :3
Sasaran Pengendalian dan Kontrol

(Control objectives and controls)
A.5 Kebijakan keamanan informasi Apllica Referensi Justifikasi Status

ble
Ya/
dokumen Implementasi
Tidak
A 5.1 Arahan manajemen untuk keamanan
informasi
Sasaran: Memberikan arahan manajemen
organisasi dan dukungan keamanan informasi
dalam hubungan dengan persyaratan bisnis
organisasi dan peraturan perundang-undangan
yang berlaku.
A. 5.1.1 Kebijakan Pengendalian: Ya - Manual - Mengacu kepada Diterapkan

keamanan Perusahaan Klausul ISO
informasi Dokumen kebijakan Bab IV 23001
keamanan Kerahasiaan - Best Practice
informasi harus Informasi dan Perusahaan
disahkan oleh Bab VI Fintech Lain
manajemen dan Keamanan -Asosiasi Fintech
dipublikasikan serta Informasi pembiayaan
dikomunikasikan Indonesia
- SOP Kontrol
kepada semua Akses
karyawan dan - SOP
pihak-pihak lain Teleworking
yang relevan. - SOP
Malware
- SOP
Pemusnahan
Media
- SOP Mobile
Devices
- Form
Pemusnahan
Media
- Form
Pengajuan &
Penutupan
Email
- Form
Permintaan
Instalasi
Software
- Form
Permintaan
Internal Use
Halaman :4
file backup
database
- Form
Permintaan
akses VPN
- Form
Permintaan
akses
Database
- Form
Permintaan
akses
aplikasi
Backend
- Form izin
penggunaan
perangkat
mobile
- Form
Penutupan
akun
karyawan
- MRTG /
Cachi
- Cloudwatch
- Sys Log
Pengendalian:
Kebijakan - Mengacu kepada

keamanan Klausul ISO
informasi harus 23001
Kaji ulang dikaji ulang secara - Best Practice
Manual SMKI
kebijakan berkala, atau jika Perusahaan
A.5.1.2 Ya Perusahaan Diterapkan
keamanan terjadi perubahan Fintech Lain
bab 3.1
informasi untuk memastikan -Asosiasi Fintech
kecukupan dan pembiayaan
keefektifan Indonesia
kebijakan informasi
yang berkelanjutan.
A.6 Organisasi keamanan informasi
A.6.1 Organisasi internal

Sasaran: Membentuk kerangka kerja
manajemen untuk memulai dan
mengendalikan pelaksanaan operasi keamanan
Internal Use
Halaman :5
informasi dalam organisasi.
- Mengacu kepada
Pengendalian: Klausul ISO
23001
Tugas dan
Semua tanggung - Best Practice
tanggung
jawab keamanan Perusahaan
A.6.1.1 jawab Ya Prosedur BCP Diterapkan
informasi harus Fintech Lain
keamanan
ditetapkan dan -Asosiasi Fintech
informasi
diinformasikan. pembiayaan
Indonesia
Pengendalian:
- Mengacu kepada
Tugas yang saling Klausul ISO
bertentangan harus 23001
dipisahkan untuk - Best Practice
Pemisahan mengurangi Perusahaan
A.6.1.2 Ya Prosedur BCP Diterapkan
tugas peluang perubahan Fintech Lain
yang tidak sah atau -Asosiasi Fintech
tidak disengaja atau pembiayaan
penyalahgunaan Indonesia
aset organisasi.
Pengendalian:
Kontak Tabel kontak - Best Practice
Kontak dengan
dengan darurat Perusahaan
A.6.1.3 pihak berwenang Ya Diterapkan
pihak (Damkar, Fintech Lain
yang relevan harus
berwenang polisi, RS,dll)
dipelihara.
Pengendalian:
Kontak
Kontak dengan - Best Practice
dengan
kelompok khusus Perusahaan
kelompok
atau forum ahli Aftech,AFPI Fintech Lain
A.6.1.4 khusus Ya Diterapkan
keamanan (Sertifikat) -Asosiasi Fintech
(special
informasi dan Pembiayaan
interest
asosiasi profesi Indonesia
groups)
harus dipelihara.
A.6.1.5 Keamanan Pengendalian: Ya NDA, - Best Practice Diterapkan

informasi Manual Perusahaan
dalam Keamanan operasional Fintech Lain
Internal Use
Halaman :6
informasi harus
dibahas dalam
project project Bab VI
-Best practice
manageme management Keamanan
Perbankan
nt terlepas dari jenis Informasi
proyek.
A.6.2 Perangkat mobile dan teleworking

Sasaran: Untuk menjamin keamanan
teleworking dan penggunaan perangkat
mobile.
Pengendalian:
Kebijakan dan
- Best Practice
langkah-langkah Prosedur
Kebijakan Perusahaan
keamanan harus Mobile
A.6.2.1 perangkat Ya Fintech Lain Diterapkan
diterapkan untuk Devices
mobile -Best practice
mengelola risiko IK Konfigurasi
Perbankan
akibat penggunaan
perangkat mobile.
Pengendalian:
Kebijakan dan
langkah-langkah Form
- Best Practice
keamanan harus Permintaan
Perusahaan
diterapkan untuk Akses VPN
A.6.2.2 Teleworking Ya Fintech Lain Diterapkan
melindungi Prosedur
-Best practice
informasi yang Teleworking
Perbankan
diakses, diproses IK Konfigurasi
atau disimpan di
lokasi teleworking.
A.7 Keamanan Sumber Daya Manusia

(SDM)
A.7.1 Sebelum bekerja
Sasaran: Untuk memastikan karyawan dan

kontraktor memahami akan tanggung
jawabnya sesuai dengan perannya.
A.7.1.1 Seleksi Pengendalian: Ya - Prosedur - Best Practice Diterapkan
Internal Use
Halaman :7
Pemeriksaan latar
belakang calon
karyawan dan
kontraktor harus rekrutmen
dilaksanakan dan Seleksi,
sesuai dengan - Prosedur
peraturan Pengajuan
perundang- dan Perusahaan
undangan yang Penutupan Fintech Lain
berlaku, etika -Best practice
(screening) Email dan
yang berlaku dan Perbankan
User Sanders
proporsional -Peraturan OJK
- Manual
terhadap 77/2016
persyaratan Perusahaan
bisnis, klasifikasi Bab III
informasi yang Manajemen
akan diakses dan Karyawan
risiko yang
mungkin dihadapi
organisasi.
Pengendalian:
-Manual
Calon pegawai operasional
dan kontraktor perusahaan
harus menyetujui Bab III - Best Practice
dan Manajemen Perusahaan
Persyaratan
menandatangani Karyawan dan Fintech Lain
dan
A.7.1.2 syarat dan aturan Ya Manual -Best practice Diterapkan
ketentuan
kontrak operasional Perbankan
kepegawaian
kepegawaian Bab II Point 9 -Peraturan OJK
yang menyatakan mengenai 77/2016
tanggung jawab aturan Vendor
keamanan -Kontrak kerja,
informasi. NDA, PP
A.7.2 Selama bekerja
Sasaran: Untuk memastikan karyawan dan

kontraktor memahami dan memenuhi
tanggung jawab keamanan informasi.
A.7.2.1 Tanggung Pengendalian: Ya Manual - Best Practice Diterapkan
Internal Use
Halaman :8
Manajemen harus
mewajibkan operasional
setiap pegawai perusahaan Perusahaan
dan kontraktor Bab VI Fintech Lain
jawab menerapkan Keamanan -Best practice
manajemen keamanan Informasi, Perbankan
informasi sesuai NDA -Peraturan OJK
dengan kebijakan karyawan dan 77/2016
dan prosedur vendor
yang berlaku.
Pengendalian:
Setiap pegawai
-Prosedur
dan kontraktor
training and
harus secara - Best Practice
development
Kepedulian, berkala mendapat Perusahaan
-Manual
pendidikan pelatihan yang Fintech Lain
operasional
A.7.2.2 dan pelatihan cukup tentang Ya -Best practice Diterapkan
perusahaan
keamanan kepedulian, Perbankan
Bab III
informasi kebijakan dan -Peraturan OJK
Manajemen
prosedur yang 77/2016
Karyawan
berlaku sesuai
dengan pekerjaan
masing-masing.
Pengendalian:
Proses
kedisiplinan
secara formal - Best Practice
harus Perusahaan
diberlakukan dan Fintech Lain
Peraturan
A.7.2.3 Kedisiplinan dikomunikasikan Ya -Best practice Diterapkan
perusahaan
ke seluruh Perbankan
pegawai yang -Peraturan OJK
melakukan 77/2016
pelanggaran
keamanan
informasi.
A.7.3 Pemberhentian karyawan dan

pemindahan pekerjaan
Internal Use
Halaman :9
Sasaran: Untuk melindungi kepentingan

organisasi sebagai bagian dari proses
pemindahan atau pemberhentian pegawai.
- Manual
Operasional
Pengendalian: Perusahaan
Bab VI
Tugas dan Keamanan
tanggung jawab Informasi
terhadap - SOP - Best Practice
Tanggung
keamanan Pengajuan Perusahaan
jawab
informasi harus dan Fintech Lain
pemindahan
A.7.3.1 ditetapkan untuk Ya Penutupan -Best practice Diterapkan
atau
pemindahan atau Email dan Perbankan
pemberhentia
pemberhentian User -Peraturan OJK
n pekerjaan
pegawai dan - Form 77/2016
dikomunikasikan Terminasi
kepada pegawai Karyawan
atau kontraktor. - Prosedur
Human
Resources
Security
A.8 Manajemen asset
A.8.1 Tanggung jawab terhadap asset
Sasaran: Untuk mengidentifikasi aset

organisasi dan menetapkan tanggung jawab
yang sesuai.
A.8.1.1 Inventarisa Pengendalian: Ya Manual - Best Practice Diterapkan

si aset operasional Perusahaan
Aset-aset yang Bab IX Fintech Lain
berhubungan pengendalian -Best practice
dengan perangkat Inventori dan Perbankan
pemrosesan Aktiva Tetap
informasi harus dan Form
diidentifikasi Asset
dengan jelas dan
inventarisasi semua
aset penting harus
dicatat dan
Internal Use
Halaman :10
dipelihara.
- Best Practice
Pengendalian:
Perusahaan
Kepemilika Fintech Lain
A 8.1.2 Aset investarisasi Ya Daftar aset Diterapkan
n aset -Best practice
harus ada pemilik.
Perbankan
Pengendalian:
Aturan-aturan
Manual
penggunaan
operasional - Best Practice
informasi yang
Bab IX Perusahaan
Aturan berhubungan
pengendalian Fintech Lain
A. 8.1.3 pemakaian dengan perangkat Ya Diterapkan
Inventori dan -Best practice
aset pemrosesan
Aktiva Tetap Perbankan
informasi harus
dan Form
diidentifikasi,
Asset
didokumentasikan
dan diterapkan.
Pengendalian:
Manual
Semua pegawai dan
operasional
pihak luar harus - Best Practice
Bab IX
mengembalikan Perusahaan
pengendalian
Pengembali semua aset yang Fintech Lain
A.8.1.4 Ya Inventori dan Diterapkan
an aset digunakannya saat -Best practice
Aktiva Tetap
mereka dinyatakan Perbankan
dan Form
berhenti bekerja
Terminasi
sesuai dengan
Karyawan
perjanjian kontrak.
A.8.2 Klasifikasi informasi
Sasaran: Untuk menjamin setiap informasi

dalam organisasi mendapatkan keamanan yang
memadai berdasarkan tingkat kepentingan
organisasi.
A.8.2.1 Klasifikasi Pengendalian: Ya SOP - Best Practice Diterapkan

informasi Klasifikasi Perusahaan
Informasi harus Informasi Fintech Lain
diklasifikasi -Best practice
Internal Use
Halaman :11
menurut nilai,
peraturan hukum,
sensitivitas dan
Perbankan
tingkat
kepentingan
(kritikal).
Pengendalian:
- Mengacu kepada
Klausul ISO
Prosedur harus
23001
dibuat untuk
- Best Practice
pelabelan SOP
Pelabelan Perusahaan
A.8.2.2 informasi sesuai Ya Klasifikasi Diterapkan
informasi Fintech Lain
dengan klasifikasi Informasi
-Asosiasi Fintech
informasi yang
pembiayaan
telah ditentukan
Indonesia
oleh organisasi.
Pengendalian:
- Mengacu kepada
Klausul ISO
Prosedur
23001
penanganan
- Best Practice
informasi harus SOP
Penanganan Perusahaan
A.8.2.3 dibuat sesuai Ya Klasifikasi Diterapkan
informasi Fintech Lain
dengan klasifikasi Informasi
-Asosiasi Fintech
informasi yang
pembiayaan
telah ditentukan
Indonesia
organisasi.
A.8.3 Penanganan media
Sasaran: untuk mencegah pengaksesan,

perubahan, pemindahan atau penghapusan
informasi yang tersimpan dalam media.
A.8.3.1 Manajemen Pengendalian: Ya - Mengacu kepada Diterapkan

- Procedure
removable Mobile Klausul ISO
media Prosedur harus Device 23001
diterapkan untuk - Formulir izin - Best Practice
mengelola penggunaan Perusahaan
removable media perangkat Fintech Lain
sesuai dengan mobile
device -Asosiasi Fintech
klasifikasi yang pembiayaan
ditetapkan Indonesia
Internal Use
Halaman :12
organisasi.
Pengendalian:
- Mengacu kepada
Klausul ISO
Media harus
- Prosedur 23001
dimusnahkan
Pemusnaha - Best Practice
secara aman jika
Pemusnahan n Media Perusahaan
A.8.3.2 tak lagi Ya Diterapkan
media - Form Fintech Lain
digunakan dengan
pemusnaha -Asosiasi Fintech
mengacu
n media pembiayaan
prosedur yang
Indonesia
berlaku.
Pengendalian:
- Mengacu kepada
Media yang Klausul ISO
- Procedure
berisikan 23001
mobile
informasi harus device - Best Practice
Transfer dilindungi dari - Form izin Perusahaan
A.8.3.3 Ya Diterapkan
media fisik akses yang tidak penggunaan Fintech Lain
sah, penggunaan perangkat -Asosiasi Fintech
ilegal atau mobile pembiayaan
device Indonesia
kerusakan selama
transportasi.
A.9 Kontrol akses
A.9.1 Persyaratan bisnis untuk kontrol

akses
Sasaran: Untuk membatasi akses informasi

dan akses ke perangkat pemrosesan informasi.
A.9.1.1 Kebijakan Pengendalian: Ya - Mengacu kepada Diterapkan

- Prosedur
kontrol akses Kontrol Klausul ISO
Kebijakan kontrol Akses 23001
akses harus - Prosedur - Best Practice
ditetapkan, Teleworking Perusahaan
didokumentasikan - Form Fintech Lain
dan dikaji ulang permintaan
akses VPN -Asosiasi Fintech
berdasarkan pembiayaan
- Form
ketentuan bisnis permintaan Indonesia
dan persyaratan akses
keamanan internet Wifi
Internal Use
Halaman :13
- Form
permintaan
akses
aplikasi
backend
- Form izin
penggunaan
perangkat
informasi. mobile
device
- Form
Permintaan
file backup
database
Form
Permintaan
akses Database
Pengendalian: - Mengacu kepada
Klausul ISO
Prosedur
User hanya dapat 23001
Control Access
Akses ke mengakses - Best Practice
Form
jaringan dan jaringan dan Perusahaan
A.9.1.2 Ya Permintaan Diterapkan
layanan layanan jaringan Fintech Lain
Akses internet
jaringan yang telah secara -Asosiasi Fintech
wifi
spesifik diberikan pembiayaan
kewenangan. Indonesia
A.9.2 Manajemen akses user (User access

management)
Sasaran: untuk menjamin akses pengguna

yang sah dan untuk mencegah pihak yang
tidak sah pada sistem dan layanan.
A.9.2.1 Registrasi Pengendalian: Ya - Prosedur - Mengacu kepada Diterapkan

pengguna Control Klausul ISO
dan Proses registrasi Access & 23001
pembatalan dan pembatalan Login - Best Practice
registrasi user harus - Form Perusahaan
(user diterapkan untuk Pengajuan Fintech Lain
registration memungkinkan Email -Asosiasi Fintech
and de- pemberian hak - Form pembiayaan
registration) akses. Penutupan Indonesia
Email
- Form
Internal Use
Halaman :14
Penutupan
Akun
Karyawan
- Prosedur
Kontrol
Akses
- Form
permintaan
fasilitas
karyawan
- Form
permintaan
instalasi
Pengendalian: software
- Form - Mengacu kepada
Proses permintaan Klausul ISO
penyediaan user akses 23001
access harus internet Wifi - Best Practice
Penyediaan diimplementasika - Form Perusahaan
A.9.2.2 Ya Checklist Diterapkan
user access n untuk Fintech Lain
user PC
pemberian atau Enkripsi -Asosiasi Fintech
pembatalan hak - Form list pembiayaan
akses terhadap instalasi Indonesia
semua jenis user. software di
PC
- Form
permintaan
akses
aplikasi
backend
- Form izin
penggunaan
perangkat
mobile
device
- Mengacu kepada
23001
Manajemen Alokasi dan Prosedur - Best Practice
hak akses penggunaan hak Manajemen Perusahaan
khusus/istime akses khusus Hak Akses Fintech Lain
wa harus dibatasi dan Istimewa -Asosiasi Fintech
dikendalikan. pembiayaan
Indonesia
A.9.2.4 Pengelolaan Pengendalian: Ya Prosedur - Mengacu kepada Diterapkan
Internal Use
Halaman :15
Klausul ISO
kerahasiaan 23001
Alokasi atas
otentikasi Manajemen - Best Practice
kerahasiaan
informasi Informasi Perusahaan
otentikasi harus
(authenticati Otentikasi Fintech Lain
dikendalikan
on Rahasia -Asosiasi Fintech
melalui proses
information) Pengguna pembiayaan
manajemen
user Indonesia
formal.
- Mengacu kepada
Klausul ISO
Pengendalian:
23001
Monitoring
- Best Practice
Review Pemilik aset harus tools akses
Perusahaan
A.9.2.5 terhadap hak me-review hak Ya user (jaringan Diterapkan
Fintech Lain
akses user akses user secara lokal, server,
-Asosiasi Fintech
berkala. dan backend
pembiayaan
Indonesia
- Form
penutupan
Pengendalian: email
- Form
penutupan
Hak akses semua akses VPN - Mengacu kepada
pegawai dan - Form Klausul ISO
pengguna pihak penutupan 23001
eksternal pada akses internet
Penghapusan - Best Practice
informasi dan Wifi
atau - Form Perusahaan
A.9.2.6 fasilitas Ya Fintech Lain Diterapkan
penyesuaian Penutupan
pengelolaan
hak akses akses
informasi harus -Asosiasi Fintech
backend pembiayaan
dihapus sewaktu - Form
Indonesia
terjadi penutupan
penghentian akun
kepegawaian karyawan
- Prosedur Hu-
man Re-
sources Se-
curity
A.9.3 Tanggung jawab user
Sasaran: Sebagai jaminan user bertanggung

jawab menjaga informasi otentikasi
Internal Use
Halaman :16
(authentication information).

- Prosedur
pendaftaran Klausul ISO
Penggunaan User wajib peminjam 23001
kerahasiaan mengikuti - Prosedur - Best Practice
informasi praktek-praktek pendaftaran Perusahaan
A.9.3.1 otentikasi organisasi dalam Ya pemberi Fintech Lain Diterapkan
(authenticati penggunakan pinjaman
-Asosiasi Fintech
on kerahasiaan pembiayaan
information) informasi Indonesia
otentikasi.
A.9.4 Kontrol akses sistem dan aplikasi
Sasaran: Untuk mencegah akses tidak sah ke

dalam sistem dan aplikasi.

Klausul ISO
Akses terhadap 23001
informasi dan - Best Practice
Pembatasan Kebijakan
fungsi sistem Perusahaan
A.9.4.1 akses Ya Akses Sistem Diterapkan
aplikasi harus Fintech Lain
informasi dan Aplikasi
dibatasi sesuai -Asosiasi Fintech
dengan kebijakan pembiayaan
kontrol akses. Indonesia
Pengendalian:
- Mengacu kepada
Apabila Klausul ISO
disyaratkan 23001
kebijakan kontrol - Best Practice
Prosedur log- Kebijakan
akses, akses ke Perusahaan
A.9.4.2 on yang Ya Akses Sistem Diterapkan
sistem dan Fintech Lain
aman dan Aplikasi
aplikasi harus -Asosiasi Fintech
dikendalikan pembiayaan
dengan prosedur Indonesia
log-on.
A.9.4.3 Sistem Pengedalian: Ya Kebijakan - Mengacu kepada Diterapkan

manajemen Akses Sistem Klausul ISO
password Manajemen dan Aplikasi 23001
password harus - Best Practice
Internal Use
Halaman :17
Perusahaan
interaktif dan
Fintech Lain
menjamin
-Asosiasi Fintech
kualitas
pembiayaan
password.
Indonesia
Pengendalian:
Penggunaan - Mengacu kepada

program utility Klausul ISO
yang 23001
kemungkinan - Best Practice
Penggunaan Kebijakan
mampu menolak Perusahaan
A.9.4.4 program Ya Akses Sistem Diterapkan
(overriding) Fintech Lain
utility khusus dan Aplikasi
sistem dan -Asosiasi Fintech
aplikasi harus pembiayaan
dibatasi dan Indonesia
dikontrol secara
ketat.
- Mengacu kepada
Klausul ISO
Pengendalian: 23001
Kontrol akses - Best Practice
terhadap Akses ke program Prosedur Perusahaan
program source code harus Kontrol Access Fintech Lain
source code dibatasi. -Asosiasi Fintech
pembiayaan
Indonesia
A.10 Kriptografi (Cryptography)
A.10.1 Kontrol kriptografi
Sasaran: Untuk memastikan penggunaan

kriptografi yang tepat dan efektif dalam
melindungi kerahasiaan, keaslian atau
integritas informasi
A.10.1.1 Kebijakan Pengendalian: Ya Penggunaan - Mengacu kepada Diterapkan

penggunaan Secure Socket Klausul ISO
kontrol Kebijakan Layer (SSL) 23001
kriptografi penggunaan Extended - Best Practice
kontrol Validation Perusahaan
Internal Use
Halaman :18
kriptografi untuk
memproteksi
Fintech Lain
informasi harus
-Asosiasi Fintech
dikembangkan (EV) dan fitur
pembiayaan
dan enkripsi SHA1
Indonesia
diimplementasika
n.

Klausul ISO
Kebijakan tentang 23001
Y
penggunaan, - Best Practice
Manajemen a SOP Mobile
perlindungan dan Perusahaan
A.10.1.2 kunci (key Y Device dan Diterapkan
lifetime kunci Fintech Lain
management) a table resiko
kriptografi harus -Asosiasi Fintech
Ya
dikembangkan pembiayaan
dan dilaksanakan. Indonesia
A.11 Keamanan fisik dan lingkungan
A.11.1 Area yang aman
Sasaran: Untuk mencegah akses yang tidak

sah, kerusakan dan gangguan terhadap
informasi dan perangkat pemrosesan informasi
Pengendalian:
Pembatas
- Mengacu kepada
keamanan harus
Manual Klausul ISO
idefinisikan dan
Operasional 23001
digunakan untuk
Bab VIII - Best Practice
Perimeter melindungi
Keamanan Perusahaan
A.11.1.1 keamanan wilayah atau Ya Diterapkan
Gedung dan Fintech Lain
fisik ruang yang berisi
Tempat Kerja -Asosiasi Fintech
informasi dan
Denah Kantor pembiayaan
perangkat
Indonesia
pemrosesan
informasi sensitif
atau kritis.
A.11.1.2 Pengendalian Pengendalian: Ya Manual - Mengacu kepada Diterapkan

akses masuk Operasional Klausul ISO
(Physical Area aman Bab VIII 23001
Internal Use
Halaman :19
(secure area)
harus dilindungi
kontrol akses - Best Practice
Keamanan
masuk yang Perusahaan
Gedung dan
sesuai untuk Fintech Lain
entry Tempat Kerja
menjamin hanya -Asosiasi Fintech
controls) Manual Akses
orang yang pembiayaan
Door
berwenang yang Indonesia
diperbolehkan
masuk.
Manual
Operasional - Mengacu kepada
Pengendalian: Bab VIII Klausul ISO
Keamanan 23001
Keamanan fisik Gedung dan - Best Practice
Keamanan
untuk kantor, Tempat Kerja Perusahaan
A.11.1.3 kantor, ruang Ya Diterapkan
ruang dan fasilitas CCTV,APAR, Fintech Lain
dan fasilitas
harus disediakan Eksternak -Asosiasi Fintech
dan diterapkan. Security, pembiayaan
Gembok Indonesia
Kantor
Manual
Pengendalian:
Operasional - Mengacu kepada
Bab VIII Klausul ISO
Perlindungan
Keamanan 23001
Perlindungan fisik terhadap
Gedung dan - Best Practice
ancaman dari bencana alam,
Tempat Kerja Perusahaan
A.11.1.4 luar dan serangan Ya Diterapkan
Keamanan Fintech Lain
lingkungan berbahaya atau
Fisik dan -Asosiasi Fintech
sekitar kecelakaan harus
Lingkungan, pembiayaan
dibuat dan
penempatan Indonesia
diterapkan.
CCTV, door
access
A.11.1.5 Bekerja di Pengendalian: Ya Manual - Mengacu kepada Diterapkan
area aman Operasional Klausul ISO
(Working in Prosedur bekerja Bab VIII 23001
secure areas) di daerah aman Keamanan - Best Practice
harus dibuat dan Gedung dan Perusahaan
diterapkan. Tempat Kerja Fintech Lain
dan -Asosiasi Fintech
Lingkungan, pembiayaan
penempatan Indonesia
Internal Use
Halaman :20
CCTV, door
access
Pengendalian:
Area-area seperti
area bongkar
Manual
muat dan area - Mengacu kepada
Operasional
keluar-masuk Klausul ISO
Bab VIII
orang harus 23001
Keamanan
Area dikontrol dan, - Best Practice
Gedung dan
pengiriman jika mungkin, Perusahaan
A.11.1.6 Ya Tempat Kerja Diterapkan
dan bongkar dipisahkan dari Fintech Lain
Lingkungan,
muat fasilitas -Asosiasi Fintech
penempatan
pemrosesan pembiayaan
CCTV, door
informasi untuk Indonesia
access
menghindari
akses informasi
oleh pihak yang
tidak berwenang.
A.11.2 Peralatan
Sasaran: Untuk mencegah kehilangan,

kerusakan, pencurian atau gangguan aset dan
gangguan kegiatan terhadap operasional
organisasi.
Pengendalian:
Semua peralatan
Manual
harus - Mengacu kepada
Operasional
ditempatkan pada Klausul ISO
Bab VIII
tempatnya dan 23001
Keamanan
Penempatan dilindungi untuk - Best Practice
Gedung dan
dan mengurangi risiko Perusahaan
A.11.2.1 Ya Tempat Kerja Diterapkan
perlindungan ancaman dan Fintech Lain
Lingkungan,
alat bahaya -Asosiasi Fintech
penempatan
lingkungan atau pembiayaan
CCTV, door
memberi Indonesia
access
kesempatan akses
oleh pihak yang
tidak berwenang.
Internal Use
Halaman :21
Pengendalian: Manual
- Mengacu kepada
Operasional
Klausul ISO
Peralatan harus Bab VIII
23001
dilindungi dari Keamanan
- Best Practice
power failures Gedung dan
Sarana Perusahaan
A.11.2.2 dan gangguan lain Ya Tempat Kerja Diterapkan
pendukung Fintech Lain
yang Lingkungan,
-Asosiasi Fintech
mengakibatkan penempatan
pembiayaan
sarana pendukung CCTV, door
Indonesia
tidak berfungsi. access
Pengendalian:
Kabel daya dan

- Mengacu kepada
telekomunikasi
Klausul ISO
(power and
23001
telecommunicatio
- Best Practice
ns cabling) yang
Keamanan Prosedur Perusahaan
A.11.2.3 menyalurkan data Ya Diterapkan
kabel Maintenance Fintech Lain
atau informasi
-Asosiasi Fintech
pendukung harus
pembiayaan
dilindungi dari
Indonesia
intersepsi,
gangguan atau
kerusakan.

Klausul ISO
Peralatan harus 23001
dipelihara dengan - Best Practice
Pemeliharaan benar untuk Prosedur Perusahaan
peralatan menjamin Maintenance Fintech Lain
ketersediaan dan -Asosiasi Fintech
keutuhan pembiayaan
peralatan. Indonesia
A.11.2.5 Pemindahan Pengendalian: Ya Manual - Mengacu kepada Diterapkan

aset Operasional Klausul ISO
Peralatan, Bab VIII 23001
informasi atau Keamanan - Best Practice
software tidak Gedung dan Perusahaan
boleh dibawa Tempat Kerja Fintech Lain
keluar lokasi dan -Asosiasi Fintech
tanpa ijin pihak Lingkungan, pembiayaan
Internal Use
Halaman :22
penempatan
yang berwenang. CCTV, door Indonesia
access
Pengendalian:
- Mengacu kepada
Keamanan harus
Klausul ISO
diterapkan
23001
terhadap aset
Keamanan - Best Practice
yang berada SOP Mobile
peralatan dan Perusahaan
A.11.2.6 diluar lokasi Ya Device Diterapkan
aset di luar Fintech Lain
organisasi dengan
lokasi -Asosiasi Fintech
mempertimbangk
pembiayaan
an risiko saat
Indonesia
bekerja di luar
lokasi organisasi.
Pengendalian:
Peralatan yang
digunakan
sebagai media
- Mengacu kepada
penyimpanan
Klausul ISO
harus diverifikasi
Kemananan 23001
dengan benar
pembuangan SOP - Best Practice
untuk menjamin
peralatan Pemusnahan Perusahaan
A.11.2.7 bahwa setiap data Ya Diterapkan
atau media Fintech Lain
sensitif termasuk
penggunaan -Asosiasi Fintech
software
kembali pembiayaan
berlisensi telah
Indonesia
dihapus atau
ditimpa
(overwritten)
secara aman
sebelum dibuang.
A.11.2.8 Peralatan Pengendalian: Ya SOP Mobile - Mengacu kepada Diterapkan

yang Device Klausul ISO
ditinggal oleh User harus 23001
user menjamin bahwa - Best Practice
(unattended peralatan tanpa Perusahaan
user pengawasan Fintech Lain
equipment) (unattended) telah -Asosiasi Fintech
dilindungi secara pembiayaan
Internal Use
Halaman :23
memadai. Indonesia
Pengendalian:
Kebijakan clear
desk untuk kertas
dan media
penyimpanan
Clear desk bergerak/berpinda IK Clear desk
Best Practice
A.11.2.9 dan clear h (removable) dan Ya and clear Diterapkan
Perbankan
screen kebijakan clear screen
screen untuk
fasilitas
pemrosesan
informasi harus
dijalankan.
A.12 Keamanan operasi
A.12.1 Prosedur operasional dan tanggung

jawab
Sasaran: Untuk memastikan operasi fasilitas

pemrosesan informasi dilakukan secara benar
dan aman.
A.12.1.1 Prosedur Pengendalian: Ya - Pembukaan - Mengacu kepada Diterapkan

operasi yang ID Pemberi Klausul ISO
terdokumenta Prosedur Pinjaman 23001
si pengoperasian - Pembukaan - Best Practice
harus ID Penerima Perusahaan
didokumentasikan Pinjaman Fintech Lain
, dipelihara dan - Pengajuan -Asosiasi Fintech
tersedia untuk Pinjaman pembiayaan
semua user yang - Pembayaran Indonesia
membutuhkan Pinjaman
prosedur tersebut. - Penagihan
Pinjaman
- Laporan
Pemberi
Pinjaman
- Monitoring
Pinjaman
- Pengajuan
Internal Use
Halaman :24
dan
Penutupan
Email dan
User Sanders
- Keamanan
dan
Kerahasiaan
informasi
- Account
officer
- Internal audit
- Keluhan
pelanggan
- Whistle
blower
system
-
Pengendalian:
- Mengacu kepada
Perubahan
Klausul ISO
organisasi, proses
23001
bisnis, fasilitas
form - Best Practice
pengolahan
Manajemen permintaan Perusahaan
A.12.1.2 informasi dan Ya Diterapkan
perubahan perubahan Fintech Lain
sistem yang
dokumen -Asosiasi Fintech
mempengaruhi
pembiayaan
keamanan
Indonesia
informasi harus
dikendalikan.
Pengendalian:
Penggunaan - Mengacu kepada

sumber daya Klausul ISO
harus dimonitor, 23001
disesuaikan dan - Best Practice
Prosedur
Manajemen direncanakan Perusahaan
A.12.1.3 Ya Manajemen Diterapkan
kapasitas untuk kebutuhan Fintech Lain
Kapasitas
masa depan -Asosiasi Fintech
(kapasitas dan pembiayaan
persyaratan) guna Indonesia
menjaga performa
sistem.
Internal Use
Halaman :25
Pengendalian:
Fasilitas
- Mengacu kepada
pengembangan,
Klausul ISO
Pemisahan pengujian dan
23001
fasilitas operasional harus IK pemisahan
- Best Practice
pengembang dipisahkan untuk lingkungan
Perusahaan
A.12.1.4 an, pengujian mengurangi risiko Ya pengembangan Diterapkan
Fintech Lain
dan akses atau , pengujian dan
-Asosiasi Fintech
lingkungan perubahan yang operasional
pembiayaan
operasional tidak sah atau
Indonesia
perubahan
lingkungan
operasional.
A.12.2 Perlindungan terhadap malware
Sasaran: Untuk memastikan informasi dan

fasilitas pengolahan informasi dilindungi
terhadap malware.
Pengendalian:
- Mengacu kepada
Kontrol yang
Klausul ISO
bersifat
23001
pendeteksian, - Prosedure - Best Practice
pencegahan dan malware
Kontrol Perusahaan
A.12.2.1 pemulihan agar Ya - Form laporan Fintech Lain Diterapkan
malware
terlindung dari penanganan -Asosiasi Fintech
malware untuk insiden pembiayaan
memberikan
Indonesia
kesadaran user
harus diterapkan.
A.12.3 Back-up
Sasaran: Untuk melindungi terhadap

kehilangan data.
A.12.3.1 Back-up Pengendalian: Ya - Mengacu kepada Diterapkan

- Prosedure
informasi backup anda Klausul ISO
Back-up copy disaster 23001
informasi, recovery - Best Practice
software dan - Form Perusahaan
Internal Use
Halaman :26
permintaan
file backup
database
- Form
sistem gambar permintaan
file backup
(system images)
aplikasi
harus dilakukan Fintech Lain
- Form
dan diuji secara permintaan -Asosiasi Fintech
berkala sesuai file backup pembiayaan
dengan kebijakan entire server Indonesia
back-up yang - Form
telah ditetapkan. permintaan
akses ke
perangkat
backup fisik
- Form
checklist
autobackup
A.12.4 Log dan Pemantauan (logging and
monitoring)
Sasaran: Untuk merekam peristiwa dan

penyediaan bukti.
Pengendalian:
Kegiatan log yang

- Mengacu kepada
merekam
Klausul ISO
aktivitas user,
23001
kelainan-
- Best Practice
kelainan, Kebijakan
Perusahaan
A.12.4.1 Kegiatan log kesalahan dan Ya pencatatan
Fintech Lain
kejadian event log
-Asosiasi Fintech
keamanan
pembiayaan
informasi harus
Indonesia
dibuat, disimpan
dan di-review
secara berkala.
A.12.4.2 Perlindungan Pengendalian: Ya Kebijakan - Mengacu kepada Diterapkan

informasi log pencatatan Klausul ISO
Fasilitas log dan event log 23001
informasi log - Best Practice
harus dilindungi Perusahaan
dari gangguan Fintech Lain
Internal Use
Halaman :27
-Asosiasi Fintech
dan akses secara
pembiayaan
yang tidak sah.
Indonesia
Pengendalian:
- Mengacu kepada
Klausul ISO
Kegiatan sistem
23001
administrator dan
Log Kebijakan - Best Practice
operator harus
A.12.4.3 administrator Ya pencatatan Perusahaan Diterapkan
direkam dan log
dan operator event log Fintech Lain
dilindungi dan di-
-Asosiasi Fintech
review secara
pembiayaan
berkala.
Indonesia
Pengendalian:
Penunjuk waktu
- Mengacu kepada
dari seluruh
Klausul ISO
sistem
23001
pemrosesan
- Best Practice
informasi dalam Kebijakan
Sinkronisasi Perusahaan
A.12.4.4 organisasi atau Ya pencatatan Diterapkan
waktu Fintech Lain
domain keamanan event log
-Asosiasi Fintech
harus
pembiayaan
disinkronisasikan
Indonesia
dengan satu
sumber penunjuk
waktu.
A.12.5 Kontrol operasional software
Sasaran: Untuk memastikan integritas sistem

operasional.
- Mengacu kepada
23001
Instalasi Form ditetapkan - Best Practice
Form list
software untuk mengontrol Perusahaan
A.12.5.1 Ya instalasi Diterapkan
pada sistem instalasi software Fintech Lain
software di PC
operasional pada sistem -Asosiasi Fintech
operasional. pembiayaan
Indonesia
Internal Use
Halaman :28
A.12.6 Manajemen teknik kelemahan

(vulnerability)
Sasaran: Untuk mencegah eksploitasi

kelemahan teknis.
Pengendalian:
Kebijakan
pentest
Informasi yang
tepat waktu - Mengacu kepada
tentang Klausul ISO
Kontrol kelemahan teknis 23001
terhadap dari sistem - Best Practice
kelemahan informasi yang Perusahaan
secara teknis digunakan harus Fintech Lain
(vulnerability ditemukan, -Asosiasi Fintech
) dievaluasi, dan pembiayaan
diukur secara Indonesia
tepat untuk
diketahui risiko
yang terkait.
- Mengacu kepada
Kebijakan
Klausul ISO
Pengendalian: pentest
23001
- Best Practice
Pembatasan Peraturan
Perusahaan
A.12.6.2 instalasi instalasi software Ya Diterapkan
Fintech Lain
software harus diterapkan
-Asosiasi Fintech
dan dijalankan.
pembiayaan
Indonesia
A.12.7 Audit sistem informasi
Sasaran: Untuk mengurangi dampak dari

kegiatan audit pada sistem operasional.
A.12.7.1 Kontrol audit Pengendalian: Ya Prosedur Audit - Mengacu kepada Diterapkan

sistem internal Klausul ISO
informasi Persyaratan audit 23001
dan kegiatan yang - Best Practice
melibatkan Perusahaan
pemeriksaan pada Fintech Lain
sistem -Asosiasi Fintech
Internal Use
Halaman :29
operasional harus
direncanakan
secara hati-hati
dan disetujui
pembiayaan
untuk mengurangi
Indonesia
risiko dari
gangguan
terhadap proses
bisnis.
A.13 Keamanan komunikasi
A.13.1 Manajemen keamanan jaringan

(Network security management)
Sasaran: Untuk menjamin perlindungan

informasi dalam jaringan dan mendukung
fasilitas pengolahan informasinya.
- Mengacu kepada
23001
Jaringan harus - Prosedure
Kontrol - Best Practice
dikelola dan kontrol akses
jaringan - Form Perusahaan
A.13.1.1 dikontrol untuk Ya Fintech Lain Diterapkan
(network permintaan
melindungi
controls) akses
sistem informasi -Asosiasi Fintech
internet wifi
dan aplikasi. pembiayaan
Indonesia
A.13.1.2 Keamanan Pengendalian: Ya Kebijakan - Mengacu kepada Diterapkan

layanan keamanan Klausul ISO
jaringan Fitur keamanan, layanan 23001
tingkat pelayanan jaringan - Best Practice
dan persyaratan Perusahaan
manajemen untuk Fintech Lain
semua layanan -Asosiasi Fintech
jaringan harus pembiayaan
diidentifikasi dan Indonesia
tercakup dalam
perjanjian
layanan jaringan,
baik layanan
disediakan secara
in-house atau di-
Internal Use
Halaman :30
subkontraktorkan.
Kebijakan - Mengacu kepada

Pengendalian:
keamanan Klausul ISO
layanan 23001
Grup layanan
Pemisahan jaringan - Best Practice
informasi,
jaringan Perusahaan
A.13.1.3 pengguna dan Ya Diterapkan
(segregation Fintech Lain
sistem informasi
in networks) -Asosiasi Fintech
harus dipisahkan
pembiayaan
dalam jaringan.
Indonesia
A.13.2 Transfer informasi
Sasaran: Untuk menjaga keamanan transfer

informasi dalam organisasi dan pihak
eksternal.
Pengendalian:
Kebijakan,
- Mengacu kepada
prosedur dan
Klausul ISO
aturan transfer
23001
informasi harus
Kebijakan - Best Practice
ditetapkan guna Prosedure
dan prosedur Perusahaan
A.13.2.1 melindungi Ya transfer Diterapkan
transfer Fintech Lain
pertukaran informasi
informasi -Asosiasi Fintech
informasi melalui
pembiayaan
penggunaan
Indonesia
segala tipe
fasilitas
komunikasi.

Klausul ISO
Perjanjian yang 23001
Perjanjian memuat - Best Practice
pertukaran pertukaran Perusahaan
A.13.2.2 Ya NDA Diterapkan
(exchange informasi harus Fintech Lain
agreements) ditetapkan antara -Asosiasi Fintech
organisasi dengan pembiayaan
pihak eksternal. Indonesia
A.13.2.3 Pesan Pengendalian: Ya Prosedure - Mengacu kepada Diterapkan
Internal Use
Halaman :31
Klausul ISO
23001
Informasi dalam - Best Practice
elektronik bentuk pesan Perusahaan
transfer
(electronic elektronik harus Fintech Lain
informasi
messaging) dilindungi dengan -Asosiasi Fintech
tepat. pembiayaan
Indonesia
Pengendalian:
Perjanjian
kerahasiaan atau
Perjanjian perjanjian non-
NDA untuk
kerahasiaan disclosure yang
perjanjian
dan dibutuhkan
A.13.2.4 Ya NDA kerarahasiaan Diterapkan
perjanjian organisasi untuk
informasi dengan
non- melindungi
para pihak
disclosure informasi harus
diidentifikasi dan
dikaji secara
regular.
A.14 Sistem akuisisi, pengembangan dan

pemeliharaan
A.14.1 Persyaratan keamanan sistem

informasi
Sasaran: untuk memastikan bahwa keamanan

informasi merupakan bagian dari sistem
informasi di seluruh siklus hidup. Hal ini juga
mencakup persyaratan untuk sistem informasi
yang menyediakan layanan melalui jaringan
publik.
A.14.1.1 Analisis dan Pengendalian: Ya Dokumen - Mengacu kepada Diterapkan

spesifikasi teknis Klausul ISO
persyaratan Persyaratan infrastructure 23001
keamanan keamanan - Best Practice
informasi informasi harus Perusahaan
dimasukkan Fintech Lain
dalam persyaratan -Asosiasi Fintech
untuk sistem pembiayaan
Internal Use
Halaman :32
informasi baru
atau perangkat
tambahan untuk Indonesia
sistem informasi
yang ada.
Pengendalian:
- Dokumen
Informasi yang teknis - Mengacu kepada
melewati jaringan infrastructure Klausul ISO
publik harus - Penggunaan 23001
Pengamanan
dilindungi dari Secure - Best Practice
layanan
aktivitas Socket Layer Perusahaan
A.14.1.2 aplikasi pada Ya Diterapkan
penipuan, (SSL) Fintech Lain
jaringan
perselisihan Extended -Asosiasi Fintech
publik
kontrak, Validation pembiayaan
pengungkapan (EV) dan Indonesia
yang tidak sah fitur enkripsi
dan modifikasi. SHA1
Pengendalian:
Informasi yang
terlibat dalam
transaksi layanan - Prosedure - Mengacu kepada
virtual dan
aplikasi harus Klausul ISO
escrow
dilindungi untuk - Dokumen 23001
mencegah teknis - Best Practice
Perlindungan infrastructure
incomplete Perusahaan
transaksi - Penggunaan
A.14.1.3 transmission, mis- Ya Fintech Lain Diterapkan
layanan Secure Socket
routing, Layer (SSL) -Asosiasi
aplikasi
perubahan pesan Extended Fintech
yang tidak sah, Validation pembiayaan
(EV) dan Indonesia
pengungkapan
fitur enkripsi
yang tidak sah, SHA1
duplikasi pesan
yang tidak sah
atau replay.
A.14.2 Keamanan dalam proses

pengembangan dan proses-proses
pendukung
Sasaran: Untuk memastikan bahwa keamanan
Internal Use
Halaman :33
informasi dibuat dan dilaksanakan dalam

siklus pengembangan sistem informasi.
- Prosedure
development
and
application
system
- Form
permintaan
Pengendalian: fitur dan - Mengacu kepada
perubahan Klausul ISO
Aturan - Form 23001
pengembangan permintaan
- Best Practice
Kebijakan software dan akses VPN
- Form Perusahaan
pengembang sistem harus
A.14.2.1 Ya permintaan Fintech Lain Diterapkan
an yang ditetapkan dan
file backup
aman diterapkan untuk -Asosiasi
aplikasi
proses Fintech
- Form upload pembiayaan
pengembangan server Indonesia
dalam organisasi. - Form
permintaan
akses ke
database
- Form
permintaan
akses ke
aplikasi
backend
- Prosedure Klausul ISO
Perubahan development 23001
implementasi and - Best Practice
Prosedur application
harus dikontrol Perusahaan
A.14.2.2 perubahan Ya system Diterapkan
dengan Fintech Lain
kontrol - Form
menggunakan permintaan -Asosiasi Fintech
prosedur kontrol fitur dan pembiayaan
perubahan perubahan Indonesia
A.14.2.3 Review teknis Pengendalian: Ya Prosedur - Mengacu kepada

aplikasi Development Klausul ISO
setelah Jika sistem dan aplikasi 23001
perubahan operasi berubah, sistem - Best Practice
sistem aplikasi bisnis Perusahaan
operasi yang kritis harus Fintech Lain
ditinjau dan diuji -Asosiasi Fintech
Internal Use
Halaman :34
untuk menjamin
tidak berdampak
pembiayaan
pada operasional
Indonesia
atau keamanan
organisasi.
Pengendalian:
- Mengacu kepada
Modifikasi paket Klausul ISO
software harus 23001
Pembatasan dihindari, dibatasi Form - Best Practice
perubahan hanya pada permintaan Perusahaan
paket perubahan yang fitur dan Fintech Lain
software perlu, dan seluruh perubahan -Asosiasi Fintech
perubahan harus pembiayaan
dikontrol secara Indonesia
ketat.
Pengendalian:
Prinsip-prinsip - Mengacu kepada

untuk keamanan Klausul ISO
system 23001
Prinsip engineering harus Prosedur - Best Practice
system ditetapkan, Development Perusahaan
engineering didokumentasikan dan aplikasi Fintech Lain
yang aman , dipelihara dan sistem -Asosiasi Fintech
diterapkan pada pembiayaan
setiap upaya Indonesia
implementasi
sistem informasi.
A.14.2.6 Proses Pengendalian: Ya Prosedur - Mengacu kepada Diterapkan

pengembang Development Klausul ISO
an yang Organisasi harus dan aplikasi 23001
aman menetapkan dan sistem - Best Practice
melindungi Perusahaan
proses system Fintech Lain
development dan -Asosiasi Fintech
upaya integrasi pembiayaan
yang mencakup Indonesia
seluruh siklus
system
development.
Internal Use
Halaman :35
- Mengacu kepada
Pengendalian:
Klausul ISO
23001
Organisasi harus
Prosedur - Best Practice
memonitor
Outsourced Development Perusahaan
A.14.2.7 kegiatan Ya Diterapkan
development dan aplikasi Fintech Lain
pengembangan
sistem -Asosiasi Fintech
sistem
pembiayaan
outsourcing.
Indonesia
- Mengacu kepada
23001
Testing fungsi - Best Practice
Testing
keamanan harus Kebijakan Perusahaan
A.14.2.8 keamanan Ya Diterapkan
dilakukan selama pentest Fintech Lain
sistem
proses -Asosiasi Fintech
pengembangan. pembiayaan
Indonesia

Klausul ISO
Program testing 23001
dan system - Best Practice
Testing Form user
acceptance harus Perusahaan
A.14.2.9 system Ya acceptance test Diterapkan
ditetapkan untuk Fintech Lain
acceptance (UAT)
sistem informasi -Asosiasi Fintech
baru, upgrade dan pembiayaan
versi baru. Indonesia
A.14.3 Tes data
Sasaran: Untuk melindungi data yang

digunakan untuk kegiatan testing.
A.14.3.1 Perlindungan Pengendalian: Ya IK - Mengacu kepada Diterapkan

tes data perlindungan Klausul ISO
Tes data harus data uji 23001
dipilih secara - Best Practice
hati-hati, dan Perusahaan
dilindungi serta Fintech Lain
dikontrol. -Asosiasi Fintech
pembiayaan
Internal Use
Halaman :36
Indonesia
A.15 Hubungan dengan supplier
A.15.1 Keamanan informasi dalam

hubungan dengan supplier
Sasaran: Untuk memastikan perlindungan aset

organisasi yang dapat diakses oleh supplier.
Pengendalian:
Persyaratan
keamanan - Mengacu kepada
informasi untuk Manual Klausul ISO
Kebijakan
mencegah risiko operasional 23001
keamanan
yang terkait Bab II - Best Practice
informasi
dengan akses Prosedur Perusahaan
A.15.1.1 untuk Ya Diterapkan
supplier terhadap Pembelian & Fintech Lain
hubungan
aset organisasi Prosedur -Asosiasi Fintech
dengan
harus disepakati Evaluasi pembiayaan
supplier Suplier
dengan supplier Indonesia
dan
didokumentasikan
.
A.15.1.2 Mematuhi Pengendalian: Ya Manual - Mengacu kepada Diterapkan

keamanan operasional Klausul ISO
informasi Semua Bab II 23001
dalam persyaratan Prosedur - Best Practice
perjanjian keamanan Pembelian Perusahaan
supplier informasi yang Fintech Lain
relevan harus -Asosiasi Fintech
ditetapkan dan pembiayaan
disetujui oleh Indonesia
setiap supplier
yang dapat
mengakses,
memproses,
menyimpan,
berkomunikasi,
atau menyediakan
komponen
infrastruktur IT
Internal Use
Halaman :37
milik organisasi.
Pengendalian:
Perjanjian dengan
supplier harus
- Mengacu kepada
mencakup
Klausul ISO
persyaratan untuk
23001
mencegah risiko Manual
Teknologi - Best Practice
keamanan operasional
informasi dan Perusahaan
A.15.1.3 informasi yang Ya Bab II Diterapkan
komunikasi Fintech Lain
terkait dengan Prosedur
supply chain -Asosiasi Fintech
teknologi Pembelian
pembiayaan
informasi dan
Indonesia
komunikasi
layanan termasuk
supply chain
produk.
A.15.2 Manajemen layanan supplier
Sasaran: untuk menerapkan dan menjaga

tingkat keamanan informasi dalam hal layanan
jasa yang sesuai dengan perjanjian layanan
jasa dari supplier.
- Mengacu kepada
Pengendalian:
Klausul ISO
Manual 23001
Pemantauan Organisasi harus
operasional - Best Practice
dan memantau,
Bab II Perusahaan
A.15.2.1 pengkajian mengkaji dan Ya Diterapkan
Prosedur Fintech Lain
ulang jasa mengaudit
Evaluasi -Asosiasi Fintech
supplier supplier secara
Suplier pembiayaan
berkala.
Indonesia
A.15.2.2 Mengelola Pengendalian: Ya Manual - Mengacu kepada Diterapkan

perubahan operasional Klausul ISO
layanan Perubahan Bab II 23001
supplier layanan supplier Prosedur - Best Practice
termasuk layanan Evaluasi Perusahaan
pemeliharaan dan Suplier Fintech Lain
peningkatan -Asosiasi Fintech
kebijakan, pembiayaan
prosedur dan Indonesia
Internal Use
Halaman :38
pengendalian
keamanan
informasi yang
ada, harus
dikelola dengan
mempertimbangk
an tingkat kritikal
sistem dan proses
bisnis terkait dan
asesmen ulang
dari risiko.
A.16 Manajemen insiden keamanan

informasi
A.16.1 Manajemen insiden keamanan

informasi dan perbaikan
Sasaran: Untuk memastikan pendekatan yang

konsisten dan efektif terhadap pengelolaan
insiden keamanan informasi, termasuk
komunikasi pada kejadian keamanan informasi
(security events).
Pengendalian:
Tanggung jawab
- Mengacu kepada
manajemen dan
Klausul ISO
prosedur-prosedur
23001
harus dibuat Prosedur
- Best Practice
Tanggung untuk Managemen
Perusahaan
A.16.1.1 jawab dan memastikan Ya Insiden Diterapkan
Fintech Lain
prosedur tanggapan yang keamanan
-Asosiasi Fintech
cepat, efektif dan informasi,
pembiayaan
teratur dalam
Indonesia
mengatasi insiden
keamanan
informasi.
A.16.1.2 Pelaporan Pengendalian: Ya Form tindak Form tindak lanjut

kejadian lanjut untuk proses
keamanan Kejadian penangan insiden
informasi keamanan keamanan
informasi harus informasi
Internal Use
Halaman :39
dilaporkan
kepada
manajemen yang
tepat secepat
mungkin.
Pengendalian:
Semua karyawan
dan kontraktor
yang - Mengacu kepada
menggunakan Klausul ISO
sistem informasi 23001
milik organisasi - Best Practice
Pelaporan
diwajibkan Form tindak Perusahaan
A.16.1.3 kelemahan Ya
mencatat dan lanjut Fintech Lain
keamanan
melaporkan setiap -Asosiasi Fintech
kelemahan pembiayaan
keamanan yang Indonesia
diamati atau
dicurigai dalam
sistem atau
layanan.
Pengendalian:
Kejadian
- Mengacu kepada
keamanan
Klausul ISO
informasi harus
Asesmen dan 23001
diases dan
keputusan - Best Practice
diambil
tentang Form Perusahaan
A.16.1.4 keputusan jika Ya Diterapkan
kejadian Eradication Fintech Lain
kejadian ini
keamanan -Asosiasi Fintech
diklasifikasikan
informasi pembiayaan
sebagai insiden
Indonesia
keamanan
informasi atau
tidak.
A.16.1.5 Respon Pengendalian: Ya Form - Mengacu kepada Diterapkan

terhadap Eradication Klausul ISO
insiden Insiden keamanan 23001
keamanan informasi harus - Best Practice
informasi ditanggapi sesuai Perusahaan
Internal Use
Halaman :40
Fintech Lain
dengan prosedur -Asosiasi Fintech
terdokumentasi. pembiayaan
Indonesia
Pengendalian:
Pengetahuan yang Prosedur -

diperoleh dari Mengacu kepada
menganalisis dan Klausul ISO
menyelesaikan 23001
Belajar dari Prosedur
insiden keamanan - Best Practice
insiden Backup and
A.16.1.6 informasi harus Ya Perusahaan Diterapkan
keamanan disaster
digunakan untuk Fintech Lain
informasi recovery
mengurangi -Asosiasi Fintech
kemungkinan pembiayaan
atau dampak Indonesia
kejadian di masa
depan.
Pengendalian:
Organisasi harus - Mengacu kepada

menetapkan dan Klausul ISO
menerapkan 23001
Pengumpulan prosedur untuk - Best Practice
Form laporan
bukti identifikasi, Perusahaan
A.16.1.7 Ya penanganan Diterapkan
(Collection of pengumpulan, Fintech Lain
insiden
evidence) akuisisi dan -Asosiasi Fintech
pemeliharaan pembiayaan
informasi, yang Indonesia
dapat berfungsi
sebagai bukti.
A.17 Business Continuity Management

(BCM)
A.17.1 Keamanan informasi dalam

Business Continuity Management
Sasaran: Kesinambungan keamanan informasi

harus terintegrasi dalam sistem manajemen
kelangsungan bisnis organisasi.
Internal Use
Halaman :41
Pengendalian:
Organisasi harus
menetapkan
- Mengacu kepada
persyaratan untuk
Klausul ISO
keamanan
Perencanaan 23001
informasi dan
keamanan Form - Best Practice
kesinambungan
informasi keamanan Perusahaan
A.17.1.1 manajemen Ya Diterapkan
yang sasaran Fintech Lain
keamanan
berkesinamb informasi -Asosiasi Fintech
informasi dalam
ungan pembiayaan
situasi yang
Indonesia
merugikan,
misalnya selama
krisis atau
bencana.
Pengendalian:
Organisasi harus
menetapkan,
mendokumentasik
an, menerapkan
Menerapkan dan memelihara
keamanan proses, prosedur
informasi dan kontrol guna Sudah
A.17.1.2 Ya - Diterapkan
yang memastikan diterapkan
berkesinamb tingkat yang
ungan diperlukan
keamanan
informasi yang
berkesinambunga
n selama situasi
yang merugikan.
A.17.1.3 Verifikasi, Pengendalian: Ya Form - Mengacu kepada Diterapkan

review dan keamanan Klausul ISO
evaluasi Organisasi harus sasaran 23001
keamanan melakukan informasi - Best Practice
informasi verifikasi Perusahaan
yang terhadap aktifitas Fintech Lain
berkesinamb pengendalian -Asosiasi Fintech
ungan keamanan pembiayaan
informasi yang Indonesia
Internal Use
Halaman :42
berkesinambunga
n secara berkala
untuk
memastikan
bahwa
pengendalian ini
valid dan efektif
dalam situasi
yang merugikan.
A.17.2 Redundancies
Sasaran: Untuk memastikan ketersediaan

fasilitas pengolahan informasi.
Pengendalian:
- Mengacu kepada
Fasilitas Klausul ISO
pengolahan 23001
Ketersediaan informasi harus Prosedur - Best Practice
fasilitas dilakukan dengan backup dan Perusahaan
pengolahan redundancies disaster Fintech Lain
informasi yang cukup untuk recovery -Asosiasi Fintech
memenuhi pembiayaan
kebutuhan Indonesia
ketersediaan.
A.18 Kesesuaian (compliance)
A.18.1 Kepatuhan terhadap persyaratan

hukum dan kontrak
Sasaran: untuk mencegah pelanggaran hukum,

peraturan perundang-undangan, peraturan atau
kewajiban kontrak dan setiap persyaratan
keamanan informasi.
A.18.1.1 Identifikasi Pengendalian: Ya Form Tabel - Mengacu kepada Diterapkan

peraturan Peraturan Klausul ISO
hukum yang Seluruh peraturan perundangan 23001
berlaku dan perundang- keamanan - Best Practice
persyaratan undangan dan informasi Perusahaan
kontrak persyaratan Fintech Lain
kontrak serta cara -Asosiasi Fintech
Internal Use
Halaman :43
organisasi untuk
memenuhi
persyaratan
tersebut harus
ditetapkan secara
pembiayaan
eksplisit,
Indonesia
dikomunikasikan
dan selalu up-date
untuk tiap-tiap
sistem informasi
dan organisasi.
Pengendalian:
Prosedur yang
sesuai harus
diterapkan untuk
memastikan - Mengacu kepada
kesesuaian Klausul ISO
dengan peraturan 23001
Form Tabel
Hak hukum, peraturan - Best Practice
Peraturan
kekayaan perundang- Perusahaan
A.18.1.2 Ya perundangan Diterapkan
intelektual undangan dan Fintech Lain
keamanan
(HAKI) perjanjian kontrak -Asosiasi Fintech
informasi
dalam pembiayaan
penggunaan Indonesia
material yang
memiliki HAKI
dan penggunaan
software yang
legal.
A.18.1.3 Perlindungan Pengendalian: Ya Form Tabel - Mengacu kepada Diterapkan

rekaman Peraturan Klausul ISO
organisasi Rekaman penting perundangan 23001
harus dilindungi keamanan - Best Practice
dari kehilangan, informasi Perusahaan
penghancuran, Fintech Lain
pemalsuan, akses -Asosiasi Fintech
tidak sah dan rilis pembiayaan
tidak sah sesuai Indonesia
dengan peraturan
perundang-
undangan,
Internal Use
Halaman :44
persyaratan
kontrak dan
bisnis.
Pengendalian:
- Mengacu kepada
Klausul ISO
Perlindungan data
23001
Perlindungan dan rahasia Form Tabel
- Best Practice
data dan informasi pribadi Peraturan
Perusahaan
A.18.1.4 rahasia harus dijamin Ya perundangan Diterapkan
Fintech Lain
informasi sesuai dengan keamanan
-Asosiasi Fintech
pribadi undang-undang informasi
pembiayaan
dan peraturan
Indonesia
yang berlaku.
Pengendalian:
- Mengacu kepada
Pengendalian
Klausul ISO
kriptografi harus
23001
sesuai dengan Form Tabel
- Best Practice
Regulasi perjanjian yang Peraturan
Perusahaan
A.18.1.5 pengendalian telah disepakati, Ya perundangan Diterapkan
Fintech Lain
kriptografi peraturan keamanan
-Asosiasi Fintech
perundang- informasi
pembiayaan
undangan
Indonesia
daregulasi yang
berlaku.
A.18.2 Review keamanan informasi
Sasaran: Untuk memastikan keamanan

informasi diimplementasikan dan dioperasikan
sesuai dengan kebijakan dan prosedur
organisasi.
A.18.2.1 Kajian ulang Pengendalian: Ya Prosedur audit - Mengacu kepada Diterapkan

secara internal Klausul ISO
independen Pendekatan 23001
terhadap organisasi dalam - Best Practice
keamanan mengelola dan Perusahaan
informasi menerapkan Fintech Lain
keamanan -Asosiasi Fintech
informasi pembiayaan
(misalnya sasaran Indonesia
Internal Use
Halaman :45
pengendalian,
kontrol,
kebijakan, proses,
dan prosedur
kemananan
informasi) harus
dikaji ulang
secara berkala
dan independen,
atau ketika terjadi
perubahan
signifikan
terhadap
penerapan
keamanan.
Pengendalian:
Manajer harus
memastikan
bahwa seluruh - Mengacu kepada
prosedur Klausul ISO
keamanan dalam 23001
Pemenuhan area tanggung - Best Practice
kebijakan jawabnya Prosedur audit Perusahaan
keamanan dilakukan dengan internal Fintech Lain
dan standar benar untuk -Asosiasi Fintech
mencapai pembiayaan
pemenuhan Indonesia
kebijakan internal
keamanan dan
standar yang
ditetapkan.
A.18.2.3 Review Pengendalian: Ya Prosedur audit - Mengacu kepada Diterapkan

pemenuhan internal Klausul ISO
teknis Sistem informasi 23001
harus dinilai - Best Practice
secara berkala Perusahaan
terhadap Fintech Lain
kebijakan dan -Asosiasi Fintech
standar keamanan pembiayaan
informasi Indonesia
organisasi.
Internal Use
Halaman :46
Internal Use

SoA (Statement of Appicability) - Sanders - Rev1

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

SoA (Statement of Appicability) - Sanders - Rev1

Uploaded by

Copyright:

Available Formats

PT.

SATUSTOP FINANSIAL SOLUSI

Jakarta, 22 Januari 2019

Daftar Isi Kontrol Informasi

A.5 Kebijakan Keamanan Informasi

A.13.2 Transfer informasi

A.14 Akuisi, Pengembangan dan Perawatan Sistem

Sasaran Pengendalian dan Kontrol

A.5 Kebijakan keamanan informasi Apllica Referensi Justifikasi Status

A. 5.1.1 Kebijakan Pengendalian: Ya - Manual - Mengacu kepada Diterapkan

Kebijakan - Mengacu kepada

A.6 Organisasi keamanan informasi

A.6.1 Organisasi internal

informasi dalam organisasi.

A.6.1.5 Keamanan Pengendalian: Ya NDA, - Best Practice Diterapkan

A.6.2 Perangkat mobile dan teleworking

A.7 Keamanan Sumber Daya Manusia

A.7.1 Sebelum bekerja

Sasaran: Untuk memastikan karyawan dan

A.7.1.1 Seleksi Pengendalian: Ya - Prosedur - Best Practice Diterapkan

A.7.2 Selama bekerja

Sasaran: Untuk memastikan karyawan dan

A.7.2.1 Tanggung Pengendalian: Ya Manual - Best Practice Diterapkan

A.7.3 Pemberhentian karyawan dan

Sasaran: Untuk melindungi kepentingan

A.8.1 Tanggung jawab terhadap asset

Sasaran: Untuk mengidentifikasi aset

A.8.1.1 Inventarisa Pengendalian: Ya Manual - Best Practice Diterapkan

A.8.2 Klasifikasi informasi

Sasaran: Untuk menjamin setiap informasi

A.8.2.1 Klasifikasi Pengendalian: Ya SOP - Best Practice Diterapkan

A.8.3 Penanganan media

Sasaran: untuk mencegah pengaksesan,

A.8.3.1 Manajemen Pengendalian: Ya - Mengacu kepada Diterapkan

A.9 Kontrol akses

A.9.1 Persyaratan bisnis untuk kontrol

Sasaran: Untuk membatasi akses informasi

A.9.1.1 Kebijakan Pengendalian: Ya - Mengacu kepada Diterapkan

A.9.2 Manajemen akses user (User access

Sasaran: untuk menjamin akses pengguna

A.9.2.1 Registrasi Pengendalian: Ya - Prosedur - Mengacu kepada Diterapkan

A.9.2.4 Pengelolaan Pengendalian: Ya Prosedur - Mengacu kepada Diterapkan

Sasaran: Sebagai jaminan user bertanggung

Pengendalian: - Mengacu kepada

A.9.4 Kontrol akses sistem dan aplikasi

Sasaran: Untuk mencegah akses tidak sah ke

Pengendalian: - Mengacu kepada

A.9.4.3 Sistem Pengedalian: Ya Kebijakan - Mengacu kepada Diterapkan

Penggunaan - Mengacu kepada

A.10 Kriptografi (Cryptography)

A.10.1 Kontrol kriptografi

Sasaran: Untuk memastikan penggunaan

A.10.1.1 Kebijakan Pengendalian: Ya Penggunaan - Mengacu kepada Diterapkan

Pengendalian: - Mengacu kepada

A.11 Keamanan fisik dan lingkungan

A.11.1 Area yang aman

Sasaran: Untuk mencegah akses yang tidak

A.11.1.2 Pengendalian Pengendalian: Ya Manual - Mengacu kepada Diterapkan

Sasaran: Untuk mencegah kehilangan,

Kabel daya dan

Pengendalian: - Mengacu kepada

A.11.2.5 Pemindahan Pengendalian: Ya Manual - Mengacu kepada Diterapkan

A.11.2.8 Peralatan Pengendalian: Ya SOP Mobile - Mengacu kepada Diterapkan